[linux] SPF (was: Admin)

Lubomir Host rajo na platon.sk
Úterý Leden 10 16:48:08 CET 2006 

On Tue, Jan 10, 2006 at 04:06:58PM +0100, Matus UHLAR - fantomas wrote:
> On 10.01 15:47, Ing. Jan ONDREJ wrote:
> >   1. SPF zaznamy vela servrov nepouziva. Neviem ako je to percentualne,
> >      ale nepoznam takmer ziadneho DNS spravcu, ktory by to udrziaval
> >      pre svoje domeny.
> 
> ja? linux.sk moze v pohode tiez.

Pridavam sa aj ja. platon.sk ma SPF zaznam. Zo slovenskych
poskytovatelov SPF pouziva napr. zoznam.sk. Ostatnych som netestoval.

Preto apelujem na spravcov serverov: nastavte si prosim na svojich DNS
serveroch TXT zaznam:

-----------------------------------%<-----------------------------------
# dig TXT platon.sk
...
;; ANSWER SECTION:
platon.sk.  86400  IN  TXT  "v=spf1 mx ip4:195.168.3.8/30 ip4:195.168.6.60/32 +exists:%{i}._.%{h}._.%{s}._.%{r}.spf-tracker.platon.sk -all"
...
-----------------------------------%<-----------------------------------

Toto je taky advanced zaznam. V pohode to vsak moze existovat aj
v takejto forme:

"v=spf1 mx ip4:195.168.3.8/30 ip4:195.168.6.60/32 -all"

> >   2. Spammeri to zacali pouzivat. Uz som dostal zopar spamov, ktore
> >      boli "SPF passsed". Proste sa naregistrovali na nejaku domenu
> >      a bez problemov to preslo.
> 
> Kto tvrdi toto, nepochopil, na co SPF je. SPF existuje kvoli tomu, aby
> NIEKTO netvrdil ze posiela maily z NIECEJ domeny. To znamena, ze SPF zaznam
> v domene linux.sk by zabranil tomu, co bolo popisovane - ze NIEKTO zacal
> spamovat so spatnou domenou linux.sk, nasledkom coho sa na linux.sk domenu
> dostavaly bouncy.

Ako argument za zriadenie SPF zaznamu uvadzam vycuc z mojho DNS logu (od
1. Dec. 2005 do 10. Jan 2005) pre domenu platon.sk:

----------------------%<----------------------
#grep tracker /var/log/bind/query.log* | wc -l
26104
----------------------%<----------------------

Vid direktiva "+exists:%{i}._.%{h}._.%{s}._.%{r}.spf-tracker.platon.sk".
Takymto *jednoduchou* kontrolou bolo zahodenych cca 26000 kusov spamu.
Este niekto mi bude tvrdit, ze sa to neoplati?

Zriadenim SPF zaznamu chranim nielen moj mailserver, ale aj servery,
ktore SPF pouzivaju. To je HLAVNY prinos!

> SPF je prostriedok proti falsovaniu adresy odosielatela - nic viac a nic
> menej. NIE je to anti-spam riesenie. Existencia SPF zaznamu neznamena ze
> mail nie je spam, a jeho neexistencia neznamena ze mail je spam.
> 
> Ak SPF kontrola natvrdo neprejde, znamena to, ze posta nema prejst, a o to
> tu ide.
> 
> > SPF sa na servri linux.sk pouziva cez spamassassin. Ten mu prideluje urcity
> > pocet bodov. Pouzivanie toho s nejakou vacsou prioritou sa mi nezda byt
> > vhodne.
> 
> spamassassin ma pre mna nepochopitelne male skore pre maily, ktore neprejdu
> SPF testom (hlavne pokial ide o hard fail). V kazdom pripade odmietanie
> mailov na zaklade hard fail SPF na SMTP urovni je plne korektne, nakolko
> niekto posiela mail ktory posielat nema.

Tiez to nechapem. Preto som pouzil mierne upraveny (fixnute nejake
prehresky) perlovy skript z distribucie postixu a nahodil to ako filter
do postfixu. Mierne upravena verzia je tuto:

http://platon.sk/cvs/cvs.php/scripts/perl/postfix/spf.pl

Este pre zaujemcov prislusny perlovy modul z Debianu:

---------------------------------------%<---------------------------------------
#: apt-cache show libmail-spf-query-perl
Package: libmail-spf-query-perl
...
Description: query SPF (Sender Policy Framework) to validate mail senders
 The Sender Policy Framework (SPF) protocol relies on sender domains to publish
 a DNS whitelist of their designated outbound mailers.  This module, given an
 envelope sender, determines whether a given client IP address is a legitimate
 mail source.
 .
 This package also includes spfquery, a command line interface to the module,
 and spfd, a query proxy for some mail server configurations.
 .
 For more information on SPF, see <http://www.openspf.org>.
Tag: langdevel::perl, made-of::lang:perl, protocol::dns
---------------------------------------%<---------------------------------------

> Kazdy, kto nastavi do svojej domeny (hard!) SPF zaznam, si NEZELA aby si
> prijimal postu "z tej domeny" od serverov inych ako uvedenych v SPF zazname.
> Ignorovat toto jeho zelanie je drzost.

Dakujem, ze si to mysli aj niekto okrem mna. ;-)

rajo

-- 
Lubomir Host 'rajo' <rajo AT platon.sk>   ICQ #:  257322664   ,''`.
Platon Group                              http://platon.sk/  : :' :
Homepage: http://rajo.platon.sk/                             `. `'
http://www.gnu.org/philosophy/no-word-attachments.html         `-

Další informace o konferenci linux